リリースで対処される重大な問題 PAN-OS
Symptom
リリースで対処された履歴の重要な問題一覧 PAN-OS
Environment
すべての電流 PAN-OS
Resolution
最終更新日: 7月27日 , 2021
このリストはパロ ・ アルトのネットワークが定める重大問題に限られ、情報目的のみのために提供されます。
- リリース ノートの情報を再確認して、固定バージョンに関する最新情報を確認してください。
- 感じるこれらの問題のいずれかが発生した場合、詳細な調査のためサポート プロバイダーにケースを作成してください。
- メンテナンス リリースは、問題を解決する主なメカニズムです。
- A メンテナンス リリースは、リリース バージョン番号の 3 桁目で示されます ( PAN-OS たとえば、10.0.2 の .2)。
- 固定リリースのアスタリスク(*)は、内部チェックに使用されます。無視してください。
バグ | 影響を受けるプラットフォーム (該当する場合) /Affected バージョン | 説明 (リリースノート) | 影響 | 根本的な原因 | 回避 策 | 固定リリース |
PAN-163800 | 10.1.0 | トラフィックに一致するセキュリティ ルールにスパイウェア対策プロファイルが存在すると、 policy DNS 応答が DNS 転送中に不正な形式になるという断続的な問題を修正しました。 | DNS 応答が壊れています | ライセンスチェックと修正のコード TTL には DNS 、応答を処理するバグがありました | プロファイルを含むスパイウェア対策を削除する dns security | 10.1.1* |
PAN-146250 | 9.0.0-9.0.13 9.1.0-9.1.9 | 2 つの別々の同時セッションで、同じソフトウェア パケット バッファが所有され、処理される問題を修正しました。 | DP クラッシュ | vsys 間のシナリオでは、同じ sw パケット バッファを 2 つの異なるセッションで同時に処理でき、問題が発生します。 | 使用する代わりに IPsec VPN を使用する SSL | 9.0.14,9.1.10* |
PAN-156017 | 9.1.0-9.1.6, 10.0.0-10.0.2 | ホスト情報プロファイル ( HIP ) レポート バッファがメモリ XML リークを引き起こした問題を修正しました | メモリ不足 MP | HIP メモリ リークの原因となったメッセージが送信された後、レポート バッファが解放されませんでした | hip再配布を無効にする | 9.1.7,10.0.3 |
PAN-156225 | PA-3200 シリーズ | B PA-3200 9.1.4 から 9.1.5 へのアップグレード後に、シリーズの HA1 ポートがダウンしたままの問題を修正しました。 | HA1- B リンクダウン | 関連する Sysd ノードを取得できませんでした | なし | 8.1.19,9.1.9,10.0.5* |
PAN-136347 | 8.1.0-8.1.18, 9.1.0-9.1.8 , 10.0.0-10.0.4 | DNS TCP プロキシ接続が正しく処理されず、プロセス ('dnsproxy') が応答を停止する問題を修正しました。 | dnspropyd クラッシュ / 高 CPU | デーモンのtcp_wait_timerが正しくクリアされませんでした | 回避策は TCP 、安全にプロキシされた要求での能力の問題を回避するために、DNSproxyデーモンを介して接続を無効に TCP することです。 | 8.1.19, 9.1.9,10.0.5,* |
PAN-150852 | 8.1.0-8.1.18 ,9.0.0-9.0.12 ,9.1.0-9.1.6 ,10.0.0-10.0.4 | SMTP添付ファイル名が割り当てられたバッファよりも長い場合に発生した問題を修正しました。 ファイル名がバッファより長く、レイヤ 7 インスペクションが有効になっている場合、ファイルがドロップされ、セッション エラーが発生し、電子メールが送信されませんでした。 | DP クラッシュ/ SMTP パケットドロップ | SMTPマルチパートファイル名の処理時のバッファ処理の問題 | なし | 8.1.19 9.0.13 9.1.7 10.0.5 |
PAN-143485 | 8.1.0-8.1.18, 9.0.0-9.0.12 , 9.1.0-9.1.6, 10.0.0-10.0.4 | プロセス (*devsrvr*) に関連するメモリ リークの問題を修正しました。 | デバイス サーバーのメモリ リーク | 複数のリーク URL (confg、など)が修正されています | デバイス メモリが使い果たされる前に devsrvr を再起動する | 9.0.13,9.1.8,10.0.0 |
PAN-156891 | 9.1.0-9.1.7 10.0.0-10.0.4 | 一部の zip ファイルがダウンロードされず、次のエラーメッセージが表示される問題を修正しました: 'リソースを使用できません' | L7 機能は、「リソースを使用できません」エラーが発生したときに動作しません。 | デコーダ バッファは、L7 処理で多数のループを通過します。 最大制限に達します。 | "deviceconfig 設定セッションリソース制限動作バイパスを設定する"は、エラーをヒットするセッションをバイパスするのに役立ちます。 debug dataplane fpga set sw_aho yes debug dataplane fpga set sw_dfa yes | 9.1.8 10.0.5 |
PAN-145417 | 9.0.0-9.0.12 | デバッグ コマンドは、 firewall Cortex オンライン証明書状態プロトコル ( OCSP ) メッセージが応答の 'nextUpdate' 値を欠いているため、Data Lake への接続が原因で発生する問題に対処するために追加されました OCSP 。 | sslmgr メモリ リークが原因で問題が発生しました。 OCSP | 失敗 OCSP したクエリは、長時間キャッシュされます。 それは、sslmgrの正常な動作に影響を与え、そのメモリ使用量が上がる | sslmgr プロセスの再始動 | 9.0.13,9.1.8,10.0.4 |
PAN-149297 | 9.1.0-9.1.6 10.0.0-10.0.1 | 管理サーバーでバッファ オーバーフローの問題が発生し、管理者が Web インターフェイスにログアウトすることを余儀なくされる問題を修正しました。 | 管理サーバーのクラッシュ | 内部 db のクローズ呼び出しがありません | 複数の検証コミットを行わない、コミットオール | 9.1.7,10.0.2 |
PAN-153673 | 技術的にはすべての FW プラットフォームが影響を受ける可能性がありますが、PA5200、PA7000series | データプレーンからのログの読み取りが遅くなる原因となるスレッドタイムアウトのために、トラフィックログが表示されない問題を修正しました。 | 断続的にログが停止する | メインスレッドはキャッシュの経過時間を過ごしてビジー状態で、リンクからのログの読み取りが DP 大幅に遅くなります。 | なし | 8.1.18, 9.0.11, 9.1.6, 10.0.2 |
PAN-152106 | 8.1.14-8.1.16 9.0.8-9.0.10 9.1.0-9.1.5 10.0.0-10.0.1 | プロセス (*genindex.sh*) によって、管理プレーンの使用率が CPU 予想よりも長い期間高い状態を維持する問題を修正しました。 | 高 MP CPU | スクリプトはログディレクトリを集中的に検索します | [ログの種類] の [最大日数] を構成して、保存日数を減らしてインデックス作成するログの量を減らします。 | 8.1.17, 9.0.11, 9.1.6,10.0.2 |
PAN-154181 | Panorama 8.1.16 | Panorama firewall マネージ実行 8.1.16 の Web インターフェイスにコンテキスト切り替えが機能しない問題を修正 PAN-OS しました。 | コンテキストスイッチが不可能 | A バグ修正によりコンテキスト切り替えが機能できない | なし | 8.1.17 |
PAN-151197 | 9.1.3 10.0.0 | 管理者が Active Directory ( ) アカウントで認証を受けたときに、プロセス (*authd*) が再起動 firewall する問題を修正 AD しました。 この問題 LDAP は、 FQDN DHCP 静的管理アドレスの代わりに を使用して構成 IP され、管理インターフェイスを使用してサーバーに接続したときに発生 LDAP しました。 | 認証済みクラッシュ | mgmt を DHCP 割り当てた境界ケース IP | サービス工順の使用 LDAP | 9.0.10, 9.1.4, 10.0.1 |
PAN-141221 | 9.0.0-9.0.9 9.1.0-9.1.2 | エラーのあるコミットまたはコンテンツの更新操作がデータプレーンで実行されなく、データプレーンキャッシュの破損が発生する問題を修正しました policy 。 | DP クラッシュ | - DP config コミットで phase1 解析エラーが発生した場合、中止シグナルが正しくクリーンアップされなかったので、 policy キャッシュが破損しています | 構成がエラーにならないようにしてください。 DP | 9.0.10, 9.1.3 |
PAN-144598 | 8.1.0-8.1.15 9.0.0-9.0.9.1.0-9.1.2 | データプレーンの空きメモリが使い果たされ、新しい接続に影響を与えた問題 GlobalProtect を修正しました。 firewall | GP 接続エラー | URLクライアントレス アクセス中にデータ構造が解放されない VPN app 。 | 違います | 8.1.16, 9.0.10, 9.1.3 |
PAN-150172 | 8.1.15,9.0.9,9.1.3 | 転送プロキシが有効になっているサーバ証明書の'NotBefore' 属性が Unix エポックタイム以下の Web サイトにアクセスしようとしたときに、データプレーンプロセスが再起動する問題を修正しました。 | DP 証明書の解析時に再起動 | 'NotBefore' 値が正しく初期化されませんでした | 1)サーバーの発行者 CA を信頼 firewall 済みとしてマークする OR 、2)NotBefore <= 1970/1/1 00:00:00 UTC Thisは実用的な解決策ではないこれらのサーバーへの復号化を無効にする | 8.1.15-h3, 8.1.16, 9.0.9-h1, 9.0.10, 9.1.3-h1, 9.1.4, |
PAN-137387 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | URLフィルタリングで IP ホスト名ではなくアドレスが使用され、誤った分類が発生する問題を修正 URL しました。 | ホスト ヘッダー処理の問題が URL 原因でフィルター機能 | ホスト ヘッダーが 1 番目のパケットに入らない場合の処理を見逃す | ジャンボフレームを有効にするか、カスタムurlカテゴリまたはカスタムappidを使用して文字列"/webapp/wcs/stores/"を検出します。 | 8.1.15, 9.0.9, 9.1.3 |
PAN-148068 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | SSL証明書の期限切れのセッションをブロックするオプションを使用して復号化を有効にした場合に接続がブロックされる問題を修正しました。 この問題には、証明書チェーン内の期限切れの AddTrust 証明機関 ( CA ) を送信したサーバーが含まれていました。 | SSL 一部のサイトで復号化が失敗する | 固定 SSL 証明書検証プロセス | 証明書の有効期限チェックを無効にします。 (有効期限チェックが許容できない場合) | 8.1.15, 9.0.9, 9.1.3 |
PAN-103290 | PA3200シリーズ 8.1.14のみ | 数時間の firewall 稼働時間が経過した後に.log dp-monitorでデータプレーン診断データの記録が停止する問題を修正しました。 | DP クラッシュ | ハンド時の日1日の問題クラッシュ | 回避策なし | 8.1.15 |
PAN-139587 | PA5200,PA7000シリーズ 8.1.0-8.14 9.0.0-9.0.8 9.1.0-9.1.4 | CPU複数のトンネルで IPSec カプセル化セキュリティ ペイロード ( ) の再キー設定が発生した後に、データ プレーンで高い使用率と継続的 ESP な使用率が発生する問題を修正しました。 | 高 CPU /高パケット記述子 | ESP 問題のキーを再設定する | フェールオーバー後、障害をリブートする FW | 8.1.15, 9.0.9 , 9.1.4 |
PAN-144479 | 8.1.14 のみ | クエリを実行 SNMP HOST-RESOURCES-MIB したときに、返された値のオブジェクトが正しくない問題を修正しました。 | 特定の snmp MIB が機能しない | SNMP修正の回帰 | 回避策なし | 8.1.15 |
PAN-136701 | PA7000シリーズ 9.0.0-9.0.7 9.1.0-9.1.1 | CLI予測セッションを処理する際に新しいセッションのパケットがドロップされる問題に対処するための次のコマンドを追加しました: - 'セッション hwpredict 無効を無効にする' - 'セッション hwpredict ステータスを表示' | セッションの照合を予測するパケットドロップ | 追加された回避策コマンド | をクリックして、 での検索 FPP-HW の予測を無効にし、 FPP-SW を使用します。 これは、操作コマンドを使用して制御されます。 | 9.0.8, 9.1.2 |
PAN-121626 | PA3200シリーズ | ファイアウォールがパケットを廃棄し、トラフィック遅延、ファイル転送の速度低下、スループットの低下、内部パスの監視エラー、アプリケーション障害などの問題が発生する断続的な問題を修正しました。 | 交通問題 | メモリタイミングの問題 | 回避策なし | 8.1.14,9.0.7,9.1.2 |
PAN-125534 | PA5200,PA7000シリーズ 8.1.0-8.1.13 9.0.0-9.0.7 | クラウドまたはアプライアンスへのアップロード中にファイアウォールで高いパケット記述子(オンチップ)の使用が発生する問題を修正 WildFire WF-500 しました。 | 過剰 WF なアップロードにより、高いパケット記述子が発生しました | 過剰 WF なアップロードは、プラットフォームのリソースを圧迫します。 未処理のアップロードの最大数 WF を制限する | [デバイス>の設定] WildFire >[ファイル サイズの制限] >>全般設定 - pe 8 MB | 8.1.14,9.0.8,9.1.2 |
PAN-135260 | PA7000シリーズのみ 8.1.12 | IPSec トンネル トラフィックの処理中にネットワーク 処理カード ( ) のデータプレーン プロセス (*all_pktproc_X*) NPC が再起動する断続的な問題を修正しました。 | DP クラッシュ | フローの参照中にクラッシュ 検証コードを追加しました | 回避策なし | 8.1.13,9.0.7,9.1.2 |
PAN-136820 | 8.1.0-8.1.13 | HA**System** ログに次のエラー メッセージが報告された後に高可用性 ( ) フェールオーバーが発生した問題 firewall を修正しました: 'Dataplane down: コントロールプレーン出口障害'。 | DP クラッシュ/ダウン 内部パスモニタが失敗する | NFS DP 微調整オプションの転送の NFS 問題 | 回避策なし | 8.1.14,9.0.0 |
PAN-102096 | PA7000シリーズ 8.1.0-8.1.12 | 最初のパケット プロセッサパケット バッファが適切なアライメントで割り当てられていないため、メモリが破損する問題を修正しました。 | 内部パス モニタの障害 、 FPP クラッシュ | メモリ破損の可能性 FPP | 回避策なし | 8.1.13 |
PAN-133440 | PA5200,PA7000シリーズ 8.1.8-8.1.12 9.0,9.1 | トラフィックが断片化され、データプレーンの使用とパフォーマンスの問題が発生する問題を修正 firewall しました。 | 高 CPU /高パケットバッファ | フラグメントの再構成問題 | ゾーン保護を介してフラグメントをブロックすることを検討してください。 | 8.1.13,9.0.7,9.1.2 |
PAN-131993 | Panorama シリーズ 8.1.11-8.1.12 9.0,9.1 | ログクエリの実行中にプロセス(*reportd*)がクラッシュする問題を修正しました。 | 報告されたクラッシュ | ログクエリの処理時にクリーンアップを試みている間にダブルフリー | タブ/ブラウザを閉じる前にクエリを実行して完了にする | 8.1.13,9.0.7,9.1.2 |
PAN-115875 | LFC(PA7000) 9.0.0-9.0.5 | PA- HA サイズの大きいパケット トラフィックがログ フォワーディング カード( ) のフロント パネル ポートに影響を与えたときに 7080b ペアがリブートする問題を修正 LFC しました。 | LFC 再起動 | LFC ジャンボ フレーム受信時のフロント ポート エラー処理エラー | ジャンボ フレームを使用してフロント パネル ポートをネットワークに接続しないようにする | 9.0.6 および 9.1.0 |
PAN-123667 | 9.0.0-9.0.5 | グローバル カウンタのポーリング時に "snmpd" プロセスがクラッシュする問題を修正しました。 | カーネル内の snmpd クラッシュと OOM (メモリ不足) | グローバル カウンタの OID にアクセスするときの snmpd のメモリ リーク | このクラッシュを回避する回避策は、グローバル カウンタ テーブルの OID のポーリングを回避することです。 | 9.0.6 および 9.1.0 |
PAN-123322 | PA3200,PA5200,PA7000シリーズ 8.1.0-8.1.11 9.0.0-9.0.5 | PA-3200""シリーズ PA-5200 、シリーズ、および PA-7000 シリーズのファイアウォールが実行されている PAN-OS "<8.1.11 |="" 9.0.5="">"のみ") プロセス (all_pktproc") が WQE 、重複する子セッションによって発生するワーク クエリ エントリ ( ) の破損が原因で応答を停止する断続的な問題があります。</8.1.11> | データプレーンクラッシュ | 予測セッションでパケットを渡すときにクラッシュする | なし | 8.1.12,9.0.6および9.1.0 |
PAN-128269 | PA5200シリーズのみ 8.1.10-8.1.11 9.0.0-9.0.5 | " PA-5250 PA-5260 PA-5280 、100 GB ケーブルのみでファイアウォール" ) 高可用性 AOC ( ) 構成の最初のピア HA を PAN-OS "8.1.9-h4 以降" / PAN-OS [9.0] リリースにアップグレードすると、2 番目のピアのアップグレードが完了するまで、高速シャーシ相互接続 ( HSCI ) ポートが FEC 不整合のため起動しません。 | HSCI インターフェイスダウン | 内部チップ構成の影響を受ける AOC モジュール | アップグレード手順についてはテクニカルサポートに相談し、それ以外の場合はリリースを回避 | 8.1.12,9.0.6および9.1.0 |
PAN-124481 | 9.0.0-9.0.4 | セッションの使用時にデータプレーンが応答を停止 SMTP する問題を修正しました。 | DP クラッシュ/内部パス モニタの障害 | MIME 境界が誤って計算される | app- smtp を上書きする | 9.0.5 |
PAN-126547 | 8.1.0-8.1.10 | XML APIコミット中に "type=config&action=get" を呼び出したときにプロセス ("configd") が応答しなくなった問題を修正しました。 | configd クラッシュ | xml ノードが解放されるときに、NULL がポインターに設定されませんでした | 定義済みの xpath を取得するために xml api を実行しない | 8.1.11 および 9.0.5 |
PAN-120662 | PA-7000 シリーズのみ( XM カードは影響を受けません) | ["PA-7000 シリーズファイアウォール PA-7000 -20G- NPC カードのみを使用する"]メモリ不足 OOM ()状態でデータプレーンまたは内部パスの監視が応答を停止する断続的な問題を修正しました。 | DP クラッシュ/内部パス モニタの障害 | Linux カーネルに割り当てられたメモリが不足しています | 回避策なし | 8.1.11 および 9.0.4 |
PAN-119862 | PA5050 のみ 8.1.0-8.1.11 | メモリ不足 ( OOM ) 状態でデータプレーンまたは内部パスの監視が応答を停止する断続的な問題を修正しました。 この修正により、セッション容量は 400,000 に削減されます。 | DP クラッシュ/内部パス モニタの障害 | DP0 のメモリ不足 | 回避策なし | 8.1.11 |
PAN-115695 | 8.0.x 8.1.0-8.1.9 9.0.0-9.0.3 | 受信確認が完了する前に多数のパケットを受信し、使用が正常に見えたとしても、記述子キュー エントリが枯渇し、データ転送中に高い遅延が発生するという断続的な問題を修正しました。 CPU | 高いパケット記述子とパケット バッファ | その結果、アグレッシブセッションの 1 つまたは数個 TCP は、ACK パケットが原因ですべての記述子キューエントリを受け取ることができます。 | 問題を引き起こしている明確なセッション | 8.1.10 および 9.0.4 |
PAN-116613 | 8.0.x 8.1.0-8.1.8 9.0.0-9.0.3 | VM- firewall カーネル エラーが原因でパケットがサイレント モードで破棄される Microsoft Azure にデプロイされたシリーズの問題を修正しました | バースト トラフィック時のトラフィックドロップ | Azure でバスト トラフィックを処理するときのカーネル エラー | 回避策なし | 8.1.9 および 9.0.4 |
PAN-120194 | 8.1.5-8.1.9 9.0.0-9.0.3 | (「仮想と M-シリーズ Panorama アプライアンスとログコレクターのみ") 終了した Elasticsearch ( ES ) インデックスがログの受信と再キューを継続して行い、その結果、高い使用率が発生する問題を修正 CPU しました。 | ログの取り込み失敗と高 CPU | 月次指数が予想外に終了 | テクニカルサポートへのお問い合わせ | 8.1.10 および 9.0.4 |
PAN-118407 | 8.1.0-8.1.8 9.0.0-9.0.3 | バッファ リークによる内部パスの監視エラーが原因で再起動が発生 firewall する問題を修正しました。 | DP 内部パケット パスの監視エラーによる再起動 | バッファプールの混乱 | 回避策なし | 8.1.9 および 9.0.4 |
PAN-117720 | 8.1.0-8.1.9 9.0.0-9.0.3 | ("GlobalProtect クライアントレス VPN 環境のみ") プロセス (all_pktproc") が応答を停止し、 firewall クライアントレス トラフィックを処理するときに予期せず再起動する問題を修正 GlobalProtect VPN しました。 この修正プログラムを利用するには、まずクライアント GlobalProtect レス コンテンツ リリース 79 以降にアップグレードする (「デバイス>動的更新」) をアップグレードする必要があります VPN 。 | DP クラッシュ | 大きなパケットでクライアントレスパケットを処理する場合 VPN の例外 | クライアントレスVPNを ( ) に変更 GP SSLVPN するか、8.1.8 以前にダウングレードする | 8.1.10 および 9.0.4 |
PAN-113971 | 8.1.0-8.1.8 9.0.0-9.0.3 | ("PA-7000 シリーズファイアウォールのみ") を再起動した後、高速の Chasis 相互接続 ( HSCI ) リンクがフラップする問題を修正しました firewall 。 | HSCI 羽ばたく | シグナルエラーオン SMC | 8.1.9 および 9.0.4 | |
PAN-111708 | 8.1.0-8.1.8 9.0.0-9.0.2 | ("PA-3200 シリーズファイアウォールのみ")データプレーンが予期せず再起動する原因となるまれなソフトウェアの問題を修正しました。 この修正を活用するには、"debug dataplane set pow no-desched yes" コマンドを実行する必要があります CLI (使用率が増加 CPU します)。 | DP クラッシュ | PA3200 で使用されている場合に発生する予定の取り下 CPU | 回避策なし | 8.1.9 および 9.0.3 |
PAN-117729 | 8.1.8 のみ | firewallコミットを開始した後に、アプリケーションの依存関係に関する警告が正しく表示されない問題を修正しました (「ポリシー>セキュリティ」)。 | コミット時にアプリケーションの依存関係が表示される | 不完全な修正のため PAN-98386 | 回避策なし | 8.1.9 |
PAN-107005 | PA3200シリーズのみ 8.1.0-8.1.4 9.0.0-9.0.2 | モニタ イーサネット PA-3200 トレーラーが外部デバイスによって追加されたときにパケットがドロップされるシリーズ ファイアウォール VSS- の問題を修正しました。 | L4 チェックサムは VSS 、トレーラーの監視に失敗し、パケットがドロップします。 | ネットワーク オフロード プロセッサは、その L4 の確認の検証のためにパケットをドロップします。 | 回避策はありません。アップグレード PANOS | 8.1.5 および 9.0.3 |
PAN-112814 | 8.1.6-8.1.7 および 9.0.0-9.0.1 | 予測された H H .245 セッションがアクティブステータスに変換されないために.323 ベースのコールが音声を失い firewall 、.245 トラフィックがドロップする問題を修正 H しました。 | セッションの失敗を予測する | 予測セッションが S2C フローによって作成され、ソース NAT である場合、セッションの作成に失敗する | ソースを使用しない NAT | 8.1.8 および 9.0.2 |
PAN-103023 | 8.0.14-8.1.15 8.1.2-8.1.6 | コンテンツのインストール (コンテンツ) が firewall 原因で構成エラーが発生し、 が firewall 応答を停止する断続的な問題を修正しました。 | FQDN オブジェクトは 0.0.0.0 として解決されます。 DPトラフィックの問題を引き起こす. | コンテンツインストールジョブに誤った設定が含まれる | 強制的にコミットするか、または別のリフレッシュを強制 FQDN します。 | 8.0.16、8.1.7および9.0.0 |
PAN-108241 | PA-3200 シリーズ/ 8.1.0-8.1.5 | PA-3200 firewall 複数のデータプレーンプロセス(all_pktproc、flow_mgmt、flow_ctrl、pktlog_forwarding)がトラフィックで過負荷になったときに応答を停止する、シリーズの問題を修正しました。 | DP クラッシュ | フローアジェプロセスダブルフリー | ソフトウェア aho/dfa と pscan を有効にすると、問題が発生する可能性が大幅に低下します。 | 8.1.6 および 9.0.0 |
PAN-109594 | 8.0.14, 8.1.5 のみ | IPsec キーの再設定イベントが発生したときにデータプレーンが再起動し、ピアが HA PAN-OS 8.0.14 または 8.1.5 を実行しているときにトンネル プロセス (tund) 障害が発生する問題を修正 PAN-OS しました。 | DP アップグレード プロセス中にピアのバージョンの不一致の間にタンッド クラッシュが原因で再起動 HA します。 | DP ペアでikeの再キーによって引き起こされるタンドクラッシュのために再起動 HA | ピアをアップグレードする前 HA に、アップグレード IKE プロセス中にキー再設定イベントが発生しないように、有効期間を一時的に既定値より長く調整します。 また、 HA ピア間をブレークし、スタンドアロンとして個別にアップグレードすることもできます。 | 8.0.15, 8.1.6 |
PAN-108785 | PA3200シリーズ/ 8.1.0-8.1.5 | firewall HA フェールオーバー後に対応するスイッチ ポートで入力エラーが発生したために、イーサネット 1/1、1/2、および 1/4 で ping テストが応答しなくなったアクティブ/パッシブ構成で断続的な問題が修正 HA されました。 | フェールオーバー後に送信時に eth1/1,2,4 が破損したパケット HA | HA不要な命令を呼び出したフェイルオーバー後のインターフェース初期化ステップ | インターフェイスを手動で閉じる/閉じない | 8.1.6 および 9.0.0 |
PAN-107791 | 8.1.4 | PAN-OS8.1.3 から 8.1.4 にアップグレードした後 CLI 、2 要素管理者認証が失敗する問題を修正しました。 | 2FA が失敗する | 2FAのためのソケット処理のバグ | なし | 8.1.5 および 9.0.0 |
PAN-107365 | 8.1.4 | テンプレートを変更して Panorama M- ターゲット デバイスにプッシュしようとした後、デバイスがプッシュ スコープ選択リストに表示されないシリーズおよび仮想アプライアンス>問題を修正しました(「選択項目>デバイス グループを編集する」>[デバイスへのプッシュ >])。 | テンプレートにデバイスを指定できません | PHP コードでの例外 | なし | 8.1.5 |
PAN-107271 | 8.1.4 | PA-3200 firewall PAN-OS HA B HA1-(バックアップ)ポートが期待どおりに起動しなかった構成で、8.1.4を実行しているシリーズの問題を修正しました。 | HA1B ポートは使用できません | の追加修正 PAN-89402 | HA1 に他のインターフェイスを使用する | 8.1.5 |
PAN-100244 | 8.0.x,8.1.x | コミットまたはコミットの検証に失敗した後に、ユーザーがコミットしていないイベント ( FQDN 更新、外部の動的リスト更新、ウイルス対策の更新など) が原因で firewall 、トラフィックをドロップする原因となった構成が予期しない変更になった問題を修正しました。 | 間違った適用によるトラフィックの低下 policy | 最後の候補cfg.xmlが変更されましたが、コミットが失敗したときには起こるべきではありません。その構成は次の FQDN /更新に関与していました EDL | FQDN手動更新またはコミットを実行すると、次の発生まで問題が解決するように見えます。 | 8.0.14,8.1.5 |
PAN-100613 | 8.0.10-,8.1.2-8.1.4 | PA-5200 firewall ピア HA ファイアウォールに送信されたセッション セットアップ パケットが HA2/HA3 競合状態として送り返された仮想ワイヤ(vwire)サブインターフェイスを使用する高可用性 () アクティブ/アクティブ構成のシリーズの問題を修正し、パケット記述子の増加とトラフィックの応答停止を引き起こしました。 | トラフィックは、高いパケット記述子のために断続的に影響を受ける可能性があります | セッション設定の競合状態により、パケット記述子に影響する HA2/HA3 でパケットがループします。 | 最初のパケット/最初のパケットのセッション設定/所有者セット。それ以外の場合は、アクティブ/パッシブ モードを使用します。 | 8.1.5 |
PAN-106016 | 8.0.x,8.1.x | カーネル メモリの PA-800 スパイクによって再起動が発生した Series ファイアウォールの問題 firewall を修正しました。 | 予期しないシステム再起動 | カーネル メモリの不足 | なし | 8.0.14,8.1.5 |
PAN-106936 | 8.0.x,8.1.x | PA-800カーネルエラーにより Series ファイアウォールが断続的に再起動する問題を修正し、問題が発生しました。 | 予期しないシステム再起動 | シリアルドライバの大量使用は、ウォッチドッグタイムアウトを引き起こしました | なし | 8.0.14,8.1.5 |
PAN-104116 | 8.1.3,8.0.12 | hardwareパケット バッファ リークによってパフォーマンスが firewall 低下する問題を修正しました。 | Hardware パケット バッファの枯渇 | まれに、パケット hardware バッファは解放されない | なし | 8.1.4,8.0.13
|
PAN-103921 | PA-3200 シリーズ/ 8.1.0-8.1.3 | PA firewall 内部パスの監視エラーによりデータプレーンが故障した 3200 シリーズの問題を修正しました。 | 内部パス・モニターの障害 | と の間のリンクの通信障害 MP DP | なし | 8.1.4 および 9.0.0 |
PAN-103442 | PA-3200 シリーズ/ 8.1.0-8.1.3 | PA-3200 firewall 転送情報ベース ( FIB ) が正しく更新されなかったシリーズで断続的に発生する問題を修正し、オフロードされたトラフィックの転送に成功することを防ぎました。 | オフロードされたトラフィックの一部が正しく転送されません。 | FIB プログラミング エラーのため、in が DP 正しく更新されない | セッション オフロードを無効にする | 8.1.4 および 9.0.0 |
PAN-98116 | PA-3000 シリーズ / 8.1.0 | PA-3000コンテンツ (アプリと脅威) のインストール中にデータプレーン ("pan_comm") プロセスで、一連のファイアウォールがファイル記述子を渡す問題と FQDNRefresh ジョブの実行により、 hardware レイヤ 7 エンジンがアプリケーションを正しく識別しない問題を修正しました。 | App- ID (L7プロセス)が動作を停止 DP クラッシュ | pan_commのコミットを担当するプロセスにおけるファイル記述子のリーク DP | なし | 8.1.3 |
PAN-99212 | 8.0.10-8.0.11 , 8.1.0 | firewallパケットが誤ってドロップ ARP され、"flow_arp_throttle" カウンタが増加する問題を修正しました。 | ARP 動作しない /トラフィック停止 | ARP パケット調整機能は誤って検査された arp の数をカウントし、ARP パケットをドロップします | なし | 8.0.12 と8.1.3 |
PAN-98397 | PA-3200 シリーズ/ 8.1.0 | PA-3200一連のファイアウォールで、オフロード プロセッサがルート削除更新メッセージを処理しなかった場合に、古いルート エントリが残され、セッション オフロード ステージ中にセッションが応答しなくなる問題を修正しました。 | オフロード チップのルーティング テーブルの問題によるパケット ドロップ | FIB オフロード チップ(FE100)は、ルートの削除後に正しく更新されていません | セッション・オフロードの無効化 | 8.1.3 |
PAN-94912 | PA-5200 シリーズ/ 8.0.0-8.0.9 8.1.0-6.1.1 | PA-5200 PA-3200 アクティブ/アクティブ高可用性 ( ) 構成の Series および Series ファイアウォールが HA 、仮想ワイヤ展開で間違った方向にパケットを送信する問題を修正しました。 | MAC 羽ばたきは、ネイグアワースイッチで起こります。 トラフィックの中断が発生する可能性がある | ha Active-Active vwire の場合、デバイスが ha3 リンクを介してパケットを転送する場合。場合によっては、ヘッダー情報が正しく設定され、その結果、そのようなパケットはローカルで HA 転送されるのではなく、ピアに転送されます。 | いずれかのケース (00810651) で、セッション・オフロードを使用不可にすることで問題が解決しました。 | 8.0.10 および 8.1.2 |
PAN-90890 | 8.0.0-8.0.9 8.1.0 | ID ID Manager ( ) NT LAN が有効になっている複数のユーザー エージェントに仮想システムが接続されている場合に、User-プロセス (「useridd」) が応答しなくなった問題 NTLM を修正しました。 | useridd プロセスクラッシュ/ Useridd ハイファイルディスクリプタ/Useridd 不安定 | 接続状態のメモリ破損 | 各 vsys で有効になっているユーザー ID エージェントを 1 つだけ設定 NTLM します。 | 8.0.10 と6.1.1 |
PAN-93839 | PAN-3000シリーズと PAN- 5000シリーズ / 8.0.0-8.0.9 8.1.0 | メモリ不足の状態が原因で、プロセスが断続的に firewall 再起動され続ける原因となったため、管理者がログインできなかった問題を修正 firewall しました。 PAN-90143 PAN-OS (8.0.9 では、メモリ不足イベントの頻度を減らす初期メモリの機能拡張が提供されました)。 | カーネルのメモリが低 MP いと、管理者ログイン障害などのシステムの不安定性が高ま / メモリ不足 MP | PANOS8.x/9.x 上の Linux カーネルは、メインストリーム Linux で修正されるメモリ リークを持っています。 メインストリーム linux カーネルからパッチを移植します。 | 再起動システム | 8.0.10 と6.1.1 |
PAN-79989 | 8.0.0-8.0.8 | 「脅威データベースハンドラが失敗しました」というエラーが発生し、メモリ不足の状態が断続的にコミットまたはコンテンツのインストールに失敗した場合に、カスタム署名が設定されたファイアウォールの問題を修正。 | コミット失敗 | devsrvr は、commit 中にコンテンツをコンパイルするために、fork () システムコールを使用して子プロセス (tdb_compile) を生成します。 空きメモリが少ない場合、この fork () 呼び出しは失敗し、コミットまたはコンテンツのインストールが失敗します。 | 再起動システム | 8.1.0、8.0.9 |
PAN-90143 | PA-5000 シリーズ/ 8.0.0-8.0.8 と8.1.0 | メモリ不足の状態が原因でプロセスが断続的に再起動されるため、管理者が断続的ににログインできなかった問題 firewall を修正しました。 | システムの安定性/システムが応答しない | カーネルトラッキングメモリは絶えず減少しています。 ページ移動を無効にしてカーネル設定を変更すると、ドロップが停止する可能性があります。 | 再起動システム | 8.0.9、 |
PAN-92268 | PA-7000,PA5200,PA3200シリーズ/ 7.1.0-7.1.16 と 8.0.0-8.0.8 | PA-7000 PA-5200 PA-3200 デバイスまたはネットワーク設定の変更をコミット中、またはコンテンツの更新をインストール中に、複数の操作コマンドを実行したときに(任意のユーザー firewall インターフェイスまたは管理サーバーから)、1 つ以上のデータプレーンがトラフィックを通過しなかったシリーズ、シリーズ、およびシリーズ Panorama のファイアウォールの問題を修正しました。 | トラフィックドロップ | ミス-Pancomm のプログラミング間違ったバイパスキュー id を使用する | これが発生した場合は、別のコミットを行います。 | 8.1.0 ,8.0.9 と7.1.17、 |
PAN-92564 | 8.0.0-8.0-8, 8.1.0 | FSFP firewall SF が PAN-OS [8.0 | 8.1] リリースに接続されているバージョンをアップグレードした後、書き込み可能なサードパーティ製トランシーバ (パロアルトネットワークス®から購入されていない) のごく一部が動作しなくなったり、他の問題が発生したりした問題を修正しました。 この修正プログラムを使用すると firewall PAN-OS 、[8.0 | 8.1] ベース イメージをダウンロードしてインストールするまで[8.0 | 8.1] をインストールした後に PAN-OS 再起動|8.1.x] リリース。 ファイアウォールのアップグレードに関するその他の詳細、アップグレードに関する考慮事項、および手順については PAN-OS 、8.1 のアップグレード情報を参照してください。 | サポートされていない SFP 動作停止 | SDK I2C 読み取りエラーが挿入されました。 これは、パノス8.0、(および初期 8.1.0) この I2C バスドライバは、デバイスのプロトコルシーケンスにコントローラを台無しに、読み取り機能でこの論理エラーを持っていることが原因。 | サポートされている使用 SFP | 8.0.9、 |
PAN-89718 | PA-7000シリーズ / 8.0.0-8.0.7 そして、すべての古い Mainlines | PA-7000インターフェイスの初期化によりブートアップ中に "brdagent" プロセスが応答しなくなったため、Series ファイアウォールが継続的にリブートする問題を修正しました HSCI 。 | Firewall 再起動 | FPP brdagentは素晴らしいPHYを初期化することに縛られており、ハートビートに応答することはできません。 結果として、それは masterd によって殺される | HSCI HSCI QSFP 再起動中にポートを無効にするか、+ モジュールを削除する | 8.1.0、8.0.8 |
PAN-86882 | 8.0.0-8.0.7 そして、すべての古い Mainlines | カスタム カテゴリの firewall URL (「カスタム オブジェクト >>のオブジェクト」) またはフィルタリング プロファイルの "許可リスト" (「フィルタ > リング プロファイルのフィルター処理の許可 URL URL リスト」)(「> > フィルタ リング プロファイル> >オーバーライド」) の区切り記号として、ネストされたワイルドカード ("*" ) を使用した後に、データプレーンが応答しなくなった問題 URL URL を修正 URL- しました。 この修正により、このような場合に、ファイアウォールでネストされたワイルドカードを使用することはできません。 詳細については、「NESTED WILDCARD(*) 」を IN URLS MAY SEVERELY AFFECT PERFORMANCE参照してください。 | DP カスタムルックアップによるクラッシュと再起動 URL | URLネストされたアスタリスクを使用したカスタム カテゴリの構成ミスにより DP 、CPU の高負荷が発生する 注: 修正は、追加の構成チェックを防ぐためです | 構成で使用するアスタリスクの数を少なくします。詳細については、説明のリンクを参照してください。 | 8.1.0、8.0.8 |
PAN-83687 | 8.0.0-8.0.6 | Panorama M- 「コミットとプッシュ」操作中に「configd」プロセスが応答を停止したシリーズアプライアンスの問題を修正 Panorama >、コレクターグループに設定変更をプッシュしました。 | 構成済みクラッシュ
| コミット中に、コレクター設定の下のテーブルのデータ構造が破棄されます。 | Panoramaコミットとコレクタグループのプッシュを同時に行わない。 | 8.1.0、8.0.7 |
PAN-85938 | 8.0.0-8.0.6 7.1.0-7.1.13 | PAN-OS IP 内部ゲートウェイにログインしたエンドユーザーのアドレスとユーザー名のマッピングが GlobalProtect 、そのゲートウェイからログアウトしてから 1 秒以内に削除される問題を修正しました。 | ユーザー ip マッピング情報が正しく生成されない | グローバル保護ログアウト/ログインイベントが同じ秒で発生した場合、user-idinは firewall タイムスタンプ(第2の粒度)を使用してそれらを区別するため、これらのイベントのシーケンスを決定できません。 | 回避策はありません | 8.0.7、7.1.14 |
PAN-82125 | PA-5000シリーズ / 8.0.0-8.0.6 | firewall8.0へのアップグレード後に管理プレーンまたはコントロールプレーンが継続的に再起動 PAN-OS し、次のエラーメッセージが表示される問題を修正しました:「rcu_sched CPU/タスクで停止が検出されました」。 | 連続 / MP CP 再起動 | SFPバスを保持し、i2cコントローラのリセットが完了できない原因となるモジュールによるi2cの問題。 | サポートされている使用 SFP | 8.1.0、8.0.7 |
PAN-82273 | 8.0.0-8.0.5、 7.1.6-7.1.13 | 復号化ルールを強制するためにプロキシ セッションをブロックすると policy パケット バッファの枯渇が発生し、最終的にパケット損失が発生する問題を修正しました。 | Hardware によって処理されるあらゆるタイプのトラフィックに影響を与える可能性のあるバッファ リークの問題 DP | 非 RST policy 復号ルールと組み合わせて-強制(拒否されたトラフィック)の一部として生成されたパケットによるパケットバッファのリーク
| 1. SSL の非復号ルールで、復号プロファイルで「復号化なし」からアクションを削除します。 OR 2. policy ルールを削除するルールを変更する |
8.0.6、7.1.14 |
PAN-84545 | PA-800 シリーズ / 8.0.0-8.0.5 | PA-800再起動するまでシリーズファイアウォールが応答しなくなり、再起動が終了したときに応答を停止したときからログが生成されない問題を修正しました。
| システムが応答しません。 CLIいいえ /コンソール/ping 応答 問題から回復するには手動による再起動が必要 | PA-800 は、独自の MDIO カーネルドライバを使用します。 このドライバには、デッドロック状態の原因となっていたバグがありました。
| 回避策なし | 8.0.6 |
PAN-82830 | PA-5000 シリーズおよび PA-3000 シリーズ / 8.0.0-8.0.5 | PA-5000メモリ不足のシリーズおよび PA-3000 シリーズのファイアウォールが一時的に応答しなくなり、トラフィックの処理が停止し、ログの生成が停止する問題を修正しました。
| Firewall 「ハング」、および/を介してアクセスすることはできません SSH GUI 。 ログは書き込まれておらず、管理コンソールの出力はありません。 | 8.0 のメモリフットプリントが大きくなると、問題が発生します。 | 7.1. x へのダウングレード (これまでの 8.0. x でのみ報告される問題) |
8.0.6 |
PAN-81100 | などの低メモリプラットフォームPA-200 と、 M-100 主に。他のプラットフォームでも同じ問題が発生する可能性があります。 / 8.0.0-8.0.5 | firewall Panorama メモリ リークによって、コミット、更新、コンテンツの更新など、いくつかの操作が失敗する原因となった管理サーバー FQDN 上の問題を修正しました。
| エラーが発生した場合、またはメモリリークをコミットする: fork () に失敗しました。 / 症状は、コミットの失敗 GUI 、応答しない、 HA 設定の同期失敗、 MP メモリリーク、デーモンクラッシュ、高 MP CPU . | 8.0 では64ビットにアップグレードしました。 したがって、virt と res メモリの使用量はわずかに上がるでしょう。
| M-100では、32 GB メモリにアップグレードすると、発生が大幅に減少します。 PA-200その他のプラットフォームの場合、7.1.x へのダウングレードの短い回避策はありません。 |
8.0.6 |
PAN-78718 | PA-7000 シリーズ付き Panorama / 8.0.0-8.0.5 7.1.0-7.1.12、7.0.0-7.0.18 | PA7050 ロギングが停止する / Logrcvr がクラッシュする PA-7050 | LPC Panorama8.0 以降の管理サーバーを実行した後、メモリ リークが原因で新しいログの保存と表示を停止しました PAN-OS | この問題は FW 、7.x リリースを実行している 7K で発生します Panorama 。 FW メモリ GTP リークの原因となるレポート定義の処理に失敗します。
| Panorama8.0 以降の設定を実行 CLI した場合: deviceconfig 設定の設定管理の無効定義済みレポート [ gtp-spoofed-end-ip-gtp-malicious - wildfire -submissions top-gtp-攻撃者 top-gtp-victimss ユーザー - 訪問 - 悪意のある URL ] |
8.0.6、7.1.13、7.0.19 |
PAN-82095 | 説明に記載されているすべてのソフトウェア QoS プラットフォーム / 8.0.0 8.0.5 7.1.0 7.1.14 | PA-3000 PA-800 PA-500 PA-220 PA-200 VM- 「出力最大」が 0Mbps または 1143 Mbps を超える QoS プロファイルを使用するように設定されたインターフェイスで QoS スループットが低下するシリーズ、シリーズ、、およびシリーズ の各ファイアウォールの問題を修正しました(「ネットワーク > ネットワーク プロファイル> QoS プロファイル」)。 | QoS は、設定されたトラフィックよりも少ない最大帯域幅を適用します。 | コーディングエラーリミティングバルブ最大1Gbps
| 1143Mbit/s 以下の QoS 帯域幅を下げ、ダウングレード<=7.1.10 and/or=""></=7.1.10><=8.0.3></=8.0.3> |
8.0.6、7.1.14 |
PAN-82275 | VM-シリーズ / 8.0.0 を 8.0.4 | VM sereis: トラフィックがドロップされ、トラフィックがflow_qos_pkt_timeoutのためにドロップされる | 82 日後 QoS パケットをデキューできません。 | QoS タイマー変数は正しくリセットされませんでした。 | QoS の設定を無効にします。 |
8.0.5 |
PAN-81590 | PA-5200 シリーズ / 8.0.0から 8.0.4 | との間の内部リンクの不安定性 DP CE (コンテンツエンジン) | 5200 のプラットフォームに影響します。 システムは、init に障害が発生しても起動を続けることができます CE 。 これにより、レイヤ7検査や HA パスモニタ等 のコントロールプレーンコンソール出力に問題が発生.log次のエラーが表示されます: nac0: メモリチャンネルが不完全です | これは、イン DP CE
| ソフトウェア aho と dfa を使用します。 デバッグデータプレーンfpgaセットsw_aho>はい >デバッグデータプレーンfPGAセットsw_dfaはい |
8.0.5 |
PAN-81990 | PA-5220,PA-5250 / 8.0.4 | DPall_pktprocによる複数の再起動 | DP 8.0.4 でメモリ プールサイズが小さいため、クラッシュします。 でしか見 PA-5220 られない PA-5250 . 同じ原因で、 GP 接続 GlobalProtect のドロップや復号などの他の現象が SSL 発生する可能性があります。 | 影響を受けるプラットフォーム上のメモリ プールのサイズを固定
| または 以外の他のプラットフォーム PA-5220 を使用 PA-5250 します。 または、8.0.3 にダウン グレードします。 |
8.0.5 |
PAN-78572 | M-シリーズ / 8.0.0から 8.0.4 | シリーズのログの高いメモリ M- | 典型的な症状: -トラフィックと脅威ログが Panorama 24時間遅れました。 -Oom カーネルクラッシュ - コミット失敗 - メモリ割り当て失敗 | Evtmgr キュー内のメッセージのインデックス作成のための構築を開始します。 これはポートログと起動することができないインデックス作成プロセスの結果のメモリの増強を引き起こします。 | 回避策はありません。 |
8.0.5 |
PAN-80445 | M-シリーズ / 8.0.0から 8.0.3 | シリーズのメモリ リークの報告 M- | 実行するまでに、場合と変わらなかったメモリが増加します。 パフォーマンスの低下または管理する能力の損失を引き起こす可能性が。 報告されたメモリ リークは M- 、コンボ モードのシリーズでのみ発生します。 | 場合と変わらなかったプロセスで様々 なメモリリークを修正
| コンボ モードを使用しないでください。 専用のログ コレクターを使用します。 |
8.0.4 |
PAN-74655 | プラットフォーム固有ではない / 7.0.x 以前、7.1.x | DP CPU高urlcache_lookup処理時間の高 | DP高い使用率と一般的なトラフィックの低速性がフィルタリングによって引き起こされる URL 。 Urlcache 関連関数の処理時間の「デバッグ データ プレーン ・捕虜パフォーマンス」を行く | URLキャッシュ内のキャッシュが 100 万を超える URL MP を取得し、デバイス サーバーが高い CPU を消費している場合にキャッシュに関する問題。 DP また、 CPU ローカルキャッシュが大きく成長をルックアップするために高く消費
| クリア DP と MP キャッシュ: >クリア url キャッシュすべて >urlデータベースをすべて削除します |
PAN-DB クラウド更新プログラムは
|